1. Un système NIDS/NIPS a identifié une menace. Quel type de données de sécurité sera généré et envoyé à un périphérique d’enregistrement?
- session
- statistiques
- transaction
- alerte
Explication: Les données d’alerte sont générées par des systèmes de prévention ou de détection des intrusions en réponse au trafic qui enfreint une règle ou qui correspond à la signature d’une menace à la sécurité connue.
2. Quelles sont les deux plateformes SIEM populaires? (Choisissez deux réponses.)
- Security Onion avec ELK
- tcpdump
- Splunk
- Cisco Umbrella
- NetFlow
Explication: SIEM est une technologie utilisée au sein des entreprises pour fournir des rapports en temps réel et une analyse à long terme des événements liés à la sécurité. Deux plates-formes SIEM utilisées par les organisations sont Splunk et Security Onion with ELK.
3. Quel type de données exécutées au sein d’un réseau d’entreprise est utilisé par Cisco Cognitive Intelligence pour détecter les activités malveillantes qui ont contourné les contrôles de sécurité ou sont passées par des canaux non surveillés?
- transaction
- session
- statistiques
- alerte
Explication: Cisco Cognitive intelligence utilise des données statistiques pour effectuer une analyse statistique dans le but de détecter les activités malveillantes qui ont contourné les contrôles de sécurité ou sont passées par des canaux non surveillés (y compris des supports amovibles). Cette solution s’exécute à l’intérieur du réseau d’une entreprise.
4. Parmi les propositions suivantes, lesquelles sont des quintuplets? Citez-en deux.
- ACL
- protocole
- IPS
- IDS
- port source
Explication: Les composants de ce quintuplet incluent une adresse IP et un numéro de port sources, une adresse IP et un numéro de port cibles, ainsi que le protocole utilisé.
5. Dans un système Cisco AVC, dans quel module NBAR2 est-il déployé?
- Administration et reporting
- Reconnaissance des applications
- Collecte d’indicateurs de mesure
- Contrôle
Explication: AVC utilise la reconnaissance des applications réseau Cisco de nouvelle génération (NBAR2) pour détecter et classer les applications utilisées sur le réseau.
6. Quel type d’événement de journal d’hôte Windows décrit une opération réussie liée à une application, à un pilote ou à un service?
- audit des succès
- erreur
- informations
- avertissement
Explication: Les types d’événement peuvent varier suivant le journal d’hôte Windows. Le type d’événement information décrit une opération réussie liée à une application, à un pilote ou à un service.
7. Quelle affirmation décrit l’outil tcpdump?
- Il peut être utilisé pour analyser les données de journal du réseau afin de décrire et de prédire le comportement du réseau.
- Il est utilisé pour contrôler plusieurs applications TCP.
- Il s’agit d’un analyseur de paquets par ligne de commande.
- Il accepte et analyse les données collectées par Wireshark.
Explication: L’outil de ligne de commande tcpdump est un analyseur de paquets populaire. Il affiche les captures de paquets en temps réel ou enregistre les captures de paquets dans un fichier.
8. Quel type de données de sécurité peut être utilisé pour décrire ou prédire le comportement du réseau?
- transaction
- statistiques
- alerte
- session
Explication: Les données statistiques sont créées dans le cadre de l’analyse des autres formes de données sur le réseau. Les conclusions de ces analyses peuvent être utilisées pour décrire ou prédire le comportement du réseau.
9. Quelle est la fonctionnalité de l’outil tcpdump?
- Il utilise des agents pour soumettre des journaux d’hôte à des serveurs de gestion centralisés.
- Il enregistre les métadonnées sur les flux de paquets.
- Il affiche les captures de paquets en temps réel ou les enregistre dans un fichier.
- Ils fournissent des rapports en temps réel et une analyse à long terme des événements liés à la sécurité.
Explication: L’outil de ligne de commande tcpdump est un analyseur de paquets qui capture des données détaillées sur le protocole de paquets et le contenu. Il affiche les captures de paquets en temps réel ou les enregistre dans un fichier.
10. Dans quel journal de Windows sont consignés les événements relatifs aux tentatives de connexion, ainsi que les opérations liées à l’accès aux objets ou aux fichiers?
- journaux de sécurité
- journaux système
- journaux de configuration
- journaux d’applications
Explication: Sur un hôte Windows, les journaux de sécurité enregistrent les événements relatifs à la sécurité, tels que les tentatives de connexion et les opérations liées à la gestion des fichiers ou des objets et aux accès.
11. Quel énoncé décrit une caractéristique opérationnelle de NetFlow?
- Les enregistrements de flux NetFlow peuvent être visualisés par l’outil tcpdump.
- NetFlow peut fournir des services de contrôle d’accès des utilisateurs.
- NetFlow capture l’intégralité du contenu d’un paquet.
- NetFlow collecte des information de base sur le flux de paquets, mais pas les données de flux proprement dites.
Explication: NetFlow ne capture pas l’intégralité du contenu d’un paquet. Il collecte des métadonnées ou des données sur le flux, mais pas les données de flux proprement dites. Les informations NetFlow peuvent être visualisées avec des outils tels que nfdump et FlowViewer.
12. Quel outil de Windows peut être utilisé pour examiner les journaux de l’hôte?
- Gestionnaire de périphériques
- Gestionnaire des tâches
- Services
- Observateur d’événements
Explication: L’observateur d’événements de Windows peut être utilisé pour examiner les entrées de différents journaux.